ExHub 中的 IDOR 漏洞允许攻击者修改网页托管配置

近日，ExHub 被发现存在一个关键的不安全直接对象引用（IDOR）漏洞，该漏洞允许攻击者在未经授权的情况下修改任何项目的网页托管配置，对受影响系统构成重大风险。

ExHub 是一个基于云的平台，提供网页托管、项目协作和部署功能。用户可以配置其项目的网页托管设置，这些设置决定了项目如何部署和被访问。理想情况下，只有授权用户才能修改这些设置。然而，由于访问控制的不当实现，未授权用户可以通过知道项目的唯一标识符来利用系统。

该漏洞存在于 ExHub 的项目部署配置 API 中。具体来说，该 API 缺乏 robust 的授权检查，使得任何用户（无论其角色或认证状态）都可以发送精心构造的请求来修改托管设置。

漏洞利用过程技术复杂度较低：

1. 获取项目 ID：攻击者需要获取一个有效的项目 ID，这可以通过枚举或其他间接手段获得。
2. 构造未授权的 API 请求：通过向漏洞端点 /api/v1/projects/deployment_configuration/<projectid>发送 POST 请求，攻击者可以修改关键的托管参数。
3. 执行请求：使用工具如 Burp Suite 或 Postman 就足以执行攻击并实时观察更改。
4. 验证更改：攻击者可以通过 ExHub 的用户界面确认修改。

该漏洞实际上允许未授权用户执行诸如更改机器类型、端口和 DNS 配置等管理操作，这些操作本应仅限于高权限角色。

漏洞影响

该 IDOR 漏洞的后果严重，攻击者可以操纵部署配置，可能获得对敏感资源的未经授权访问。配置错误可能导致服务中断或无法访问。此外，被利用的配置可能使攻击者能够提升权限或链式攻击以进行进一步利用。

漏洞修复

ExHub 采取了以下措施来解决此漏洞：

• 在所有 API 端点引入严格的授权检查。
• 通过实施随机化技术使项目 ID 更难以预测。
• 重构用户角色以强制执行最小权限原则。

教训

此次事件为开发者和组织提供了几个关键教训：

• 授权检查至关重要：每个 API 端点都必须严格验证用户权限。
• 避免可预测的标识符：使用容易猜测的 ID 会增加被利用的风险。
• 最小权限原则：根据用户角色限制其操作，以最小化配置错误可能造成的损害。
• 全面测试：安全测试应包括后端 API，以发现诸如 IDOR 之类的隐藏漏洞。

通过实施严格的访问控制并采用安全设计原则，公司可以保护其平台免受利用，并建立用户信任。

消息来源：Cybersecurity News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文